När du senast handlade en chokladbit eller läsk i butik, bad de dig visa legitimation? Inte? Men visst ville de ha ditt personnummer, din epostadress och ditt privata mobilnummer? Inte det heller?
Nä, det är klart att de inte frågade efter sånt, de nöjde sig med att ta betalt. De kanske till och med önskade dig en bra dag.
Ett företag som vill veta allt om dig heter Convini. Deras ”butiker” blir allt vanligare på arbetsplatser och är antagligen ett bra alternativ om man gillar mikromat. Vi fick nyligen en sån automat på min arbetsplats och jag ville förstås prova, inte för att jag längtade efter ultraprocessad snabbmat, utan för att jag var nyfiken på teknisk lösning.
För att handla behöver jag installera en app. Det visade sig att den krävde inloggning med BankID. Redan här kräver Convini alltså att få mitt personnummer och min folkbokföringsadress. Sedan krävde appen att jag skulle ”komplettera” mina uppgifter, dvs ge dem min epostadress och mitt mobilnummer. Det här är uppgifter som Convini absolut INTE behöver för att man ska kunna genomföra ett köp. Däremot behövs det vanligtvis ett betalsätt, men det ingår inte riktigt i registreringsprocessen, det kommer senare. Uppenbart är informationsinsamling viktigare för Convini än det är att få betalt.
Sedan var det förstås det här med epostadress och mobilnummer. Om man har minsta intresse av IT-säkerhet vet man att det här är uppgifter som behöver verifieras. Vanligtvis skickas ett meddelande till uppgiven epostadress och mobilnummer med en kod eller länk att klicka på. På så sätt vet man att den som registrerat uppgifterna faktiskt har tillgång till epost och mobilnummer. Så gör givetvis inte Convini. De kräver att fälten fylls i, fälten kan inte lämnas tomma, men de verifierar inte uppgifterna. Det går alltså utmärkt att fylla i någon annans epostadress eller mobilnummer.
Sekretesspolicy
Convini har en sekretesspolicy som är enligt den standardmall företag använder när de egentligen tycker det är väldigt jobbigt att behöva följa lagen. Den kunde ha förkortats till ”Vi använder dina uppgifter hur vi vill”. De erbjuder storsint nog möjligheten att man kan kontakta dem om man inte vill att de använder mina uppgifter för marknadsföring eller lämnar uppgifterna vidare. Men eftersom det är en opt-out istället för opt-in vid registrering är det bara spel för galleriet, man har redan tvingats lämna ut sina uppgifter.
Policyn innehåller en del märkliga friskrivningar. T ex ”När vi behandlar personnummer utan ditt samtycke kommer detta endast att ske när det är klart motiverat med hänsyn till ändamålet, vikten av en säker identifiering eller något annat beaktansvärt skäl.”. Fundera över ”vikten av en säker identifiering” nästa gång du handlar hos Pressbyrån eller på ICA, visst verkar de verksamheterna fungera bra utan ”säker identifiering”?
Onödig insamling av personuppgifter
I GDPR nämns att man inte ska samla in fler personuppgifter än vad som behövs för ändamålen. Jag tycker att det är uppenbart att Convini kräver personuppgifter som inte är direkt nödvändiga. BankID, personnummer och folkbokföringsadress kan vara ok om man ska handla på faktura, men när köp sker med betalkort är det verkligen inte uppgifter som Convini behöver. Inte heller behöver de epostadress eller mobilnummer.
Jag killgissar att Convini tror att BankID-kravet minskar risken för svinn i automaterna. Men svinn är ett problem även i vanliga butiker och än har jag inte stött på någon butik som försökt lösa det problemet genom att kräva legitimation av varje kund som kommer in i butiken.
Att hälsas av meddelandet ”Vi litar inte på dig. Vi tror att du kommer att stjäla av oss.” när man kommer in i butiken är knappast något som förstärker köpsuget.
Användaravtal
I användaravtalet ser jag att mitt konto kan bli uppsagt om jag lämnat osanna uppgifter. Ojdå, jag som uppgav ett mobilnummer tillhörande Convinis VD och en epostadress i domänen convini.se! Nåja, jag besparar dem besväret att plocka bort mig, jag raderar mitt konto själv. (till min förvåning var det föredömligt enkelt att ta bort sitt konto i appen, även om jag förstås är skeptisk till att de faktiskt raderar mina uppgifter…)
Men maten då, hur var den?
Mitt provköp var en ”Thai Cube” för 42 kronor. Den var rätt ok, men om jag gått till Coop-butiken runt hörnet hade jag bara behövt betala 32kr för samma produkt. Inte heller hade jag behövt lämna ut mina personuppgifter och jag hade fått en liten promenad helt gratis. Win-Win!